SAP MaxDB 多种漏洞
critical Nessus 插件 ID 32194
语言:
简介
远程数据库服务器受到多个问题的影响。描述
远程主机正在运行 MaxDB,这是一款来自 SAP 的数据库服务器。根据其版本,远程服务器受到多个缺陷的影响:
- “vserver”进程中的一个漏洞允许未经身份验证的攻击者以运行该进程的用户特权执行任意代码。为成功利用此问题,攻击者必须事先知道服务器上的活动数据库名称。(CVE-2008-0307)
- “sdbstarter”中的一个设计错误允许攻击者将其特权提升到根级别特权。
(CVE-2008-0306)
- cons.exe 中的一个漏洞允许在数据库服务器进行身份验证之前执行命令。
(CVE-2008-0244)
解决方案
升级到 SAP MaxDB 7.7.04 Build 08 / 7.7.03 Build 23 / 7.7.02 Build 20 / 7.6.05 Build 02 / 7.6.04 Build 06 / 7.6.03 Build 15 / 7.5.00 Build 48 或更高版本。另见
http://www.nessus.org/u?772bd3ee
插件详情
严重性: Critical
ID: 32194
文件名: sap_maxdb_multiple_vulns.nasl
版本: 1.17
类型: remote
系列: Databases
发布时间: 2008/5/9
最近更新时间: 2022/4/11
配置: 启用全面检查
支持的传感器: Nessus
风险信息
VPR
风险因素: High
分数: 7.4
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 8.3
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
漏洞信息
CPE: cpe:/a:sap:maxdb
可利用: true
易利用性: Exploits are available
可利用的方式
CANVAS (D2ExploitPack)
Core Impact